Ситуацию с новой вирусной рассылкой прокомментировали специалисты ТУСУР

Прокомментировать ситуацию мы попросили Максима Мельникова, сотрудника лаборатории систем безопасности факультета безопасности ТУСУР.

- Сегодня 90% всех вирусов, которые распространяются через Интернет, распространяются с использованием методов социальной инженерии. Например, вы ищете в Интернет телефон грузотакси и находите ссылку на фирму, предоставляющую такие услуги. Эта ссылка ведёт на поддельный (фишинговый) сайт, откуда вам предлагается скачать, например, прайс-лист. Вы его скачиваете, и таким образом в ваш компьютер попадает вирус. Это довольно распространённый метод, антивирусы уже научились распознавать такие сайты. Вирус, о котором сообщают сегодня СМИ, распространяется с помощью e-mail переписки.

- Антивирусная программа может заблокировать письма, содержащие ссылку на сайт мошенников?

- Нет. Новый способ распространения вируса тем и опасен, что ссылка, содержащая переход на сайт мошенников, не блокируется автоматически. С пользователем ведёт переписку довольно-таки продвинутый бот, который присылает в письме ссылку. Ссылка внешне может выглядеть безопасно, фишинговый сайт может полностью дублировать настоящий сайт организации. Поскольку в этом случае переход осуществляется не через web-браузер, а через почтовую программу, то антивирусная программа не отслеживает эти переходы и выявление их затруднено.

- Что происходит, когда происходит переход по вредоносной ссылке?

- При переходе по ссылке, пользователь скачивает файл, внутри которого «зашит» вирус. Этот вирус может закодировать все файлы, содержащиеся в компьютере, а за получение программы-декодировщика злоумышленник попросит заплатить серьёзную сумму, иногда более 500$.

Большинство пользователей не могут определить, что попались на удочку мошенника - внешне сходство сайтов почти полное. Стиль письма также не настораживает, поскольку деловая переписка (просьба проверить счёт, скачать прайс-лист и прочее) обезличена и использует определённые шаблоны. При скачивании файла жертва тоже не замечает подвоха - файл скачивается, идёт загрузка аутентичного содержания, по при этом параллельно загружается и вирус.

- Как определить, что ссылка является мошеннической?

- Адрес ссылки, по которой просят перейти злоумышленники, может быть не совсем идентичным подлинному адресу организации, содержать дополнительные буквы и символы (тире, подчёркивания, слэш и т.п.). При наведении курсора на ссылку, указанную в письме, внизу экрана, в строке состояния обозначается истинный адрес, на который уводит ссылка. Если адреса не совпадают - значит, письмо с большой вероятностью отправлено мошенниками. Как правило, ссылка, ведущая на фишинговый сайт, полностью отличается от указанной в письме, и увидев такое явное несовпадение переходить по ссылке не стоит.